Перейти к содержанию
Sergey Dindikov

Найдена уязвимость в KAV6/KIS6

Recommended Posts

Sergey Dindikov

Найдена уязвимость в продуктах:

релиз kav/kis6.0.0.303e

последняя бета kav6.en v6.0.1.411

работа продуктов проверена на WinXPsp2,W2003 без sp1

Самозащита включена.

после выполнения команды с админскими правами

psuspend.exe Avp

psuspend.exe -r Avp

_файловый_ антивирусный монитор не реагирует на вирусы. визуально

неработоспобность монитора никак не видна. Конечно уже после суспенда процесса

avp файловый анализ перестаёт работать. Разморозка процессов avp.exe у меня

происходит примерно после 6 минут.

psuspend.exe можно взять отсюда

http://www.microsoft.com/technet/sysintern.../pssuspend.mspx

ps. после заморозки 2х процессов avp.exe будут тормоза при запуске новых процессов.

так что тест лучше всего разместить в батнике.

pps. Последние версии KAV 5 Personal/PRO неподвержены этой уязвимости.

чем грозит эта уязвимость думаю не надо рассказывать...

Уязвимость найдена мной лично. KL Team оповещена.

Trend Micro конечно под админом ещё проще вырубается

pskill.exe ntrtscan.exe

pskill.exe -t tmlisten.exe

pskill.exe OfcPfwSvc.exe

pskill.exe PccNTUpd.exe

pskill.exe PccNTMon.exe

pskill.exe XPUpg.exe

:/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Desdichado

Ну вот.

Только хотел почитать о уязвимости Каспера и на тебе...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
EYE
[bLOCKED] >>> Прошу извинить меня за использование полномочий, но так делать нельзя, мой друг. Такие вещи не сообщаются до решения проблемы. Я сохранил ваше сообщение и немедленно верну его на место, как только баг поправят. NickGolovko

NickGolovko, то что Вы сделали, противоречит самому духу

этого форума. Здесь любой человек может обсудить любую

тему относящуюся к anti-malicious индустрии.

Я уж не говорю о том, что автор данной темы, не использовал каких-либо нелегальных инструментов. А сам факт выявления и освещения какой-либо уязвимости в каком-либо антивирусном продукте, является более чем обычной практикой. Этот пример, показывает то, что Ваши юношеские инициативы, нуждаются в контроле со стороны SiteAdmin-ов.

Надеюсь, что администрация форума не оставит этот случай без внимания, исключит возможность повторения подобного в будущем и предоставит возможность возобновить обсуждение

в этой теме. Причем без всяких полумер, наподобие перенесения

этой темы в закрытый форум.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

EYE, позвольте вернуть вам ваше обвинение в юношеских амбициях. Публиковать на форумах третьей стороны сообщения о не закрытых уязвимостях неэтично, и вы это знаете. Мне поступила просьба задержать сообщение на определенное время, так как вендоры должны закрыть уязвимость. Дабы вы не волновались, напомню, что вендоры уже проинформированы о проблеме, и что после исправления сообщение будет восстановлено полностью.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sergey Dindikov

NickGolovko

Ваше решение меня вполне устраивает.

спасибо что отнеслись доброжелательно ко мне :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Demorphis

NickGolovko поддерживаю Вас по полной программе! :!: :!: :!:

Надо быть людьми в конце-то концов!!!!!!!!

EYE Вы хоть подумали прежде чем постить? :twisted:

Спасибо Sergey Dindikov! В любом случае, хоть пост и модерирован, теперь мы будем знать как действовать в таких ситуациях. И как не действовать :!:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
EYE
Публиковать на форумах третьей стороны сообщения о не закрытых уязвимостях неэтично, и вы это знаете.

Да неужели. С каких это пор _открытая_ публикация о найденной

уязвимости стала считаться "неэтичной" ? С тех пор, как эту "гениальную" мысль высказал DVi ?

Публикация информации о найденной уязвимости, является обычной практикой на международных ресурсах.

Мне поступила просьба задержать сообщение на определенное время, так как вендоры должны закрыть уязвимость.

А вот это вообще интересный факт. Значит этот форум перестал быть

независимым ресурсом, и теперь является придатком форума ЛК, сотрудники которой, теперь обладают возможностью отдавать указания "модератору" форума Anti-malware о корректировке тех или иных сообщений, неугодных ЛК !

Да уж, однако, дивные вещи Вы сообщаете, юноша...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sergey Dindikov

просто я про неё сообщал разработчику лично когда этой защиты небыло вовсе в 4.5-5.0 версиях.

её сделалали в 5ке в одном из билдов и выше.

Как и сделали защиту о которой я тоже сообщал процесс KAV можно было вынести через убиение всех тридов процесса.

Почему не протестили 6ку на эту уязвимость мне не понятно. Наверное тестеры плохо работают.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Demorphis

Да! Давайте grnic оповещайте. Хотя 100% и без меня ясно.

Добавлено спустя 3 минуты 51 секунду:

Публиковать на форумах третьей стороны сообщения о не закрытых уязвимостях неэтично, и вы это знаете.

Да неужели. С каких это пор _открытая_ публикация о найденной

уязвимости стала считаться "неэтичной" ? С тех пор, как эту "гениальную" мысль высказал DVi ?

Публикация информации о найденной уязвимости, является обычной практикой на международных ресурсах.

Мне поступила просьба задержать сообщение на определенное время, так как вендоры должны закрыть уязвимость.

А вот это вообще интересный факт. Значит этот форум перестал быть

независимым ресурсом, и теперь является придатком форума ЛК, сотрудники которой, теперь обладают возможностью отдавать указания "модератору" форума Anti-malware о корректировке тех или иных сообщений, неугодных ЛК !

Да уж, однако, дивные вещи Вы сообщаете, юноша...

Успокойтесь. Пожалуйста. Позабавиться недали! От этого люди могут пострадать, и вы прекрасно это понимаете. Или вам на это наплевать?

Вся этика, все международные взаимодействия о которых вы говорите направлены на то чтобы этого не допустить!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter
сотрудники которой, теперь обладают возможностью отдавать указания "модератору" форума Anti-malware

2EYE

Всё ОК. :)

См. вложение.

111.png

post-11-1163013030.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

EYE, да вы никак разнервничались.. ;) Вы разницу между просьбой и приказом чувствуете? :D Я это делаю не потому, что мне нравится этим заниматься. Я это делаю для того, чтобы завтра новый вариант Warezov не содержал этот эксплойт. Не знал, кстати, что вы не осведомлены о принятой в сообществе схеме уведомления вендора об уязвимости. ;) Да, и имейте в виду: проблема не только на Касперского распространяется. :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter

Если уязвимость реально опасна и свежа, т.е. не прошло хотя бы 2-х недель с момента уведомления вендора, то незачем её распространять раньше времени.

А если вендор за это время не пошевелился, то самое место уязвимости быть в заголовках.:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sergey Dindikov

NickGolovko

Да, и имейте в виду: проблема не только на Касперского распространяется.

О да! KAV помоему бесспорный лидер в защите себя.

Я вот в том сообщении показал как Trend Micro легко сносится под админом. Я думаю вендор и вкурсе и осознаёт это и считает что делать защиту от этого бессмыслено.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Maxim
Да неужели. С каких это пор _открытая_ публикация о найденной

уязвимости стала считаться "неэтичной" ? С тех пор, как эту "гениальную" мысль высказал DVi ?

вообще-то культурные люди так делают всегда.

примеров? их есть у меня:

http://security.nnov.ru/Odocument971.html

http://security.nnov.ru/Odocument921.html

это так наскидку пара потыканных линков

внимательно читать DISCLOSURE TIMELINE

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter

К вопросу удаления сообщений.

Это бессмысленно, поскольку есть RSS и сообщения никуда не исчезают.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Desdichado

Ну конечно,сейчас все бросятся писать вирусы,чтобы завалить Касперского.

По крайней мере то,что наличие дыры в "самом лучшем антивирусе всех времен и народов" признано уже хорошо.Подозреваю,что она не одна.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sergey Dindikov

desdechado

там вирусы писать не надо, отключаешь защиту. выковыриваешь из запороленного архива страшный старый вирус и запускаешь его. всё.

Единственное что его может остановить это проактивная защита KAV'a.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
EYE
2EYE

Всё ОК. Smile

См. вложение.

Ах вот оно что...Я это как-то упустил...

Успокойтесь. Пожалуйста. Позабавиться недали!
EYE, да вы никак разнервничались..

Разнервничался ? Да нет, я не "разнервничался"...

Жаль просто будет, если такой отличный ресурс, как Anti-Malware,

потеряет то, чем он обладает сейчас....

Комментарии администрации форума просто _необходимы_.

Хотелось бы, что бы были расставлены "все точки над i "

Вы разницу между просьбой и приказом чувствуете?

При Вашей-то исполнительности ? Разница ? Смешно...

Да и сути не меняет...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

Это то что я думаю?

"x" ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

О эта невидимая могущественная рука разработчика почтовой подсистемы! Да, EYE? :D Ну-ну.. ;) Если бы я был эмиссаром разработчиков Касперского, ситуация была бы, мягко говоря, немного иной :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sergey Dindikov

TiX

"x" ? это что

DestroyWindow?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

нет, параметр командной строки

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Inkogn
Я вот в том сообщении показал как Trend Micro легко сносится под админом. Я думаю вендор и вкурсе и осознаёт это и считает что делать защиту от этого бессмыслено.

При сравнивании самозащиты антивирусов под ограниченным аккоунтом я как-то очень не знал,что подумать,стерев без всяких ухищерений всю базу КАВа 5-й линейки.Поэтому могут результаты при тестировании самозащиты под админом и под огранаккоунтом между продуктами далеко не совпадать.Меня интересует исключительно самозащита под огранаккоунтом.Админаккоунт запрограммирован именно для получения максимальных прав.Тут уж пользователь должен решать,за вирусы он,или за АВ и ОС.А против админа трудно что-либо сделать и чем больше окапываться,тем больше вероятность,что закопаешься.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sergey Dindikov

Inkogn

не дать админа некоторым людям в корпоративной среде очень тяжело в тоже время где гарантия что неснесут антивирус? (у меня сносило пару человек) потому что он тормозит систему? (вычислял только по тому факту что базы давно не обновлялись, а ведь люди в отпуска ходят вот и проходит значительное время чтобы это можно было понять).

И при том опыт KAV'a показывает что защитить себя можно и под админом. За это я его уважаю.

а так как KAV6/KIS6 - это персональный продукт который обычно установлен дома, где 99% пользователей - работают под админом (вы с этим согласны?) поэтому для него это очень критично.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

EYE ну до такой степени пошлости я от вас неожидал.. :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×